本网与全国大型会计师事务所信息化专家联袂推出服务
信 息 化 审 计 收 费 价 格 参 考
( 根据实际出勤天数收费)
IS 审 计 方 案 举 例
一、IT审计简述
随着计算机及网络技术的迅速发展,信息系统的应用已逐步走向成熟,以ERP为代表的企业信息系统的高度集成逐渐兴起。企业信息系统往往不再是一个个孤立的系统,而是集财务、人事、供销、生产为一体的综合性的信息系统。在这种情况下,审计行业则不可避免地受到信息技术飞速发展所带来的冲击与挑战,审计人员只有对整个系统进行全面了解,才能把握审计对象的总体情况,避免审计风险。这迫使我们必须加快信息系统审计的步伐。我们相信,正如对财务信息的可靠性的要求造就了注册会计师行业一样,信息社会的到来为信息系统审计提供了十分广阔的发展空间,也代表了审计未来发展的一个重要方向。预见这一发展方向,并着手准备,积极应对,就一定会把握住这个机遇,使我公司的审计事业焕发出更加旺盛的生命力。
二、IT审计标准
中国目前尚没有明确的针对IT审计的国家标准。国家有关IT审计的规定最初见于《审计法实施条例》第30条,另一项重要依据是《国务院办公厅利用计算机信息系统开展审计工作有关问题的通知》(国办发[2001]88号)。但以上文件对IT审计手段、IT审计实施过程中必须遵循的规范、准则,以及IT审计报告的内容、形式等都没有涉及。
在遵循以上政策的前提下,我们可遵循的审计标准有:
√ 企业内控框架-COSO
√ IT治理-COBIT、ISO 38500
√ IT应用系统开发与运维-软件开发规范、ISO9126
√ IT服务管理-ISO20000
√ 信息安全管理-ISO27001、ISO27002
法律法规与行业监管要求如:
√ 公安部《信息系统等级保护实施规范》
√ 国家保密局《计算机信息系统保密管理暂行规定》
√ 工信部《信息安全风险评估指南》、《信息安全管理规范与实施细则》
√ 财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》
√ 国资委[2007]8号文《对中央企业加强信息化工作的相关要求》
√ 国资委[2009]102号文《对中央企业开展信息化水平评价,制订信息化发展“登高计划”的相关要求》
√ 国资委[2010]41号文,《对中央企业实施<中央企业商业秘密保护暂行规定>的相关要求》
√ 中国银行业监督管理委员会《商业银行信息科技风险管理指引》
√ 中国证券业协会、中国期货业协会《证券期货经营机构信息技术治理工作指引》
√ 深圳证监局《深圳辖区信息技术治理工作指引》
√ 监管机构有关信息化规划、信息安全管理、IT风险控制的相关要求。
√ 企业内部有关IT治理、管理及操作方面的相关制度与规范等。
√ 中国证监会《证券期货业信息系统运维管理规范》
√ 银监会《银行业金融机构信息系统风险管理指引》(至少3年一次)
三、IT审计类型
IS审计: 搜集与评价证据,以确定信息系统及相关资源是否能充分保护资产、维护数据和系统完整性、提供相关和可靠信息、有效实现组织目标、有效使用资源,并且存在有效的内部控制为满足业务、运营和控制目标的要求提供合理保证,及时预防、检测和纠正非预期事件。
专项审计: 报告某机构或部门的业务处理水平为目的,如检查第三方服务水平,或针对被审计机构内部控制活动(一般包括信息技术及相关流程的控制)所开展的审计活动。
司法取证审计: (我公司尚未开发的业务类型):针对舞弊和犯罪进行调查、揭露和跟踪的专项审计。主要目的是为执法机构及司法机构提供有效证据。司法取证调查包括对电子设备的分析,如计算机、PDA、磁盘、路由器、及其他电子设备等。
四、IT审计工作阶段
| 审计阶段 | 描述 |
| 确定审计对象 | ● 确定被审计领域。 |
| 确定审计目标 | ● 明确审计目的。 |
| 确定审计范围 | ● 确定组织重要检查的具体系统、职能或单元。 |
| 初步审计计划 | ● 确定锁具的技术技能和资源 |
| ● 确定测试或监察的信息来源。 | |
| 搜集数据的审计程序和步骤 | ●选择并确定对控制进行测试和验证的审计方法 |
| ● 确定访谈对象名单 | |
| ● 搜集并确定检查的部门政策、标准和指南 | |
| ● 开发对控制进行测试和验证的审计工具和方法 | |
| 评估测试和检查结果的程序 | ● 根据情况而定 |
| 与管理人员沟通的程序 | ● 根据情况而定 |
| 准备审计报告 | ● 监察和评价测试文档、政策和规程的合理性 |
| ● 出具审计报告 |
五、IT审计内容
IT审计涉及整个信息系统的生命周期,IT审计不是单纯强调对软硬件的审计。它的审计对象涵盖整个信息系统所有活动和中间产物,并包括信息系统实施相关的外部环境。分为公司层面、一般层面及应用层面。
(一)公司层面及一般层面控制
| 序号 | 范围 | 所需資料、文件 | 要求 |
| 1 | 公司层面控制 | ● IT 部门架构图、IT 人员职责说明 | 1、完整清晰的部门架构以及职员职责说明; |
| ● IT 预算、策略和年度规划 | 2、有完善的费用预算机制,有经过授权并正式签发的费用预算文件;有与公司战略相匹配的IT策略及每年的年度规划; | ||
| ● IT 内部、IT 与业务部门、IT 与管理层之会议记录 | 3、内部、与业务部门、与管理层之间的会议记录; | ||
| ● 与第三方供货商之服务协议 (若 IT 服务外判) | 4、签订相关服务合同; | ||
| ● IT 风险评估制度和报告 | 5、完善的风险评估机制,或引进专业风险评估机构; | ||
| ● 财务系统与其它系统间之数据流程图 | 6、提供数据流程图; | ||
| ● IT 内部审计报告和审计发现之跟进 | 7、应建立内审机制并定期内审,以辅助外审,建议引进专业机构定期内审。 | ||
| 2信息安全 | 信息安全制度、用户信息安全意识 | ● 信息技术安全规章制度 | 1、制定完善的安全规章制度,并采取广泛的宣传措施将该制度灌输至每位公司职员。 |
| ● 令员工充份了解信息技术安全规章制度的措施 | 2、规章制度写入员工手册并印发,新员工入职便能了解公司要求,并做定期培训,做好培训记录。 | ||
| ● 信息安全培训记录 | |||
| 物理安全 | ● 机房物理安全规章 | 1、物理要求:门禁系统、烟雾报警器监控、UPS、空调(接UPS)、干粉灭火器、防火防水装修材料; | |
| ● 保安设施 (如门禁系统、访客记录) | 2、机房管理:专人管理钥匙、有访客记录、机柜门应上锁; | ||
| 3、服务器管理:密码变更设置(文档/流程/频率)、密码策略(windows/sql用户密码强制策略、windows帐号锁定策略、windows界面自动锁定、应急管理/流程(备用钥匙、密码文件密封置于机房上锁的柜子中或密封的信封里面); | |||
| 4、机房显眼处应有机房管理制度; | |||
| 用户权限设定 | ● 用户系统权限的列表 | 1、用户权限组有详细的权限定义; | |
| ● 用户设置不同系统权限之制度和审批等步骤 | 2、完整的用户帐号增加、修改、删除审批流程; | ||
| ● 不同权限是否显示在用户申请表上 | 3、用户帐号审批流程中应体现具体的权限选择; | ||
| 用户设定制度 | ● 增加、更改、删除系统用户的步骤 | 1、完整的用户帐号增加、修改、删除审批流程; | |
| ● 用户部门及 IT 部门审批程序, 申请表格之处理和保存 | 2、有与人力资源中心提供的入职、离职名单相匹配的用户帐号增加、删除记录; | ||
| 系统密码设定 | ● 系统密码设定 (应用系统层、操作系统层、网络层、数据库) | 1、密码长度、应由字母和数字组成或者再区分大小写、客户端密码变更的频率应有控制(如30天强制要求变更密码); | |
| ● 密码长度 | 2、错误密码登陆次数应不超过3次,且系统应用提示信息; | ||
| ● 密码最大更改日数 | 3、密码修改时应不允许与原密码相同的密码进行修改操作,应有历史密码控制策略; | ||
| ● 密码复杂性 | 4、对各种不同密码的变更频率及设置要求等应有完整的密码管理制度; | ||
| ● 可重用旧密码次数 | |||
| ● 锁定用户前之容许错误登录次数 | |||
| 用户权限审阅 | ● 用户系统权限之定时审阅和复核, 及有关记录 | 1、对系统用户帐号的申请及权限分配等,应有定期进行复核的操作,并有相关文档记录,且文档应由相关领当定期审阅; | |
| 超级用户 | ● 应用系统、操作系统、数据库超级用户的申请、管理、使用审核的步骤和记录 | 1、对系统超级用户的使用应有审批授权制度,并有相匹配的流程; | |
| ● 拥有超级用户的人员名单 | 2、对拥有超级用户权限的人员应严格控制; | ||
| 3系统变更 | 系统变更管理 | ● 系统变更管理规章制度 | 1、要求有完整的系统变更流程,流程中包括紧急变更的处理流程; |
| ● 系统变更审批、开发、测试之步骤及记录 | 2、变更过程中应有各种表单支持,如用户申请、上级审批、开发需求、IT测试、用户测试、实施记录、用户签收等相关表单; | ||
| 系统变更上线 | ● 系统变更上线审批之步骤及记录 | 3、测试环境与正式业务系统环境应有严格区分,并有证据证明(可截图说明); | |
| ● 开发人员和上线人员之分工 (开发人员没有生产环境之权限) 之证明 | 4、紧急变更中应体现允许时候补走流程的内容; | ||
| ● 开发环境和测试环境之逻辑或物理分开之证明 | 5、系统中应有系统变更的日志记录,以方便查询历史变更; | ||
| 参数变更 | ● 应用系统、操作系统、数据库系统参数变更管理规章制度 | ||
| ● 系统变更审批、测试之步骤及记录 | |||
| 紧急变更 | ● 无法循正常变更流程的紧急变更管理规章制度、审批、测试之步骤及记录 | ||
| 4系统开发 | 系统开发方法 | ● 系统开发方法 | 根据实际情况而定 |
| 系统开发流程 | ● 系统开发流程 (审批、开发、测试、上线) | 根据实际情况而定 | |
| 数据转换 | ● 数据转换、转移制度 (审批、测试、方案制定) | 根据实际情况而定 | |
| 5信息技术运作 | 数据处理工作 | ● 系统数据处理工作监察 | 对于批量处理的事务应有完整的流程相匹配,如需要对数据源的确认、批处理完成后数据的校对。 |
| 备份制度 | ● 系统备份制度、核对 | 1、完整在备份制度,包括数据备份及系统备份; | |
| ● 备份定期恢复测试制度和记录 | 2、每天的自动备份文件应保留6天以上而不能每天自动覆盖;且要有每天的备份任务执行情况的检查记录; | ||
| ● 异地备份制度 | 3、应有多重的备份机制,如本地磁盘备份、磁带备份、光碟备份、异地备份; | ||
| ● 异地备份之物理安全 | 4、应有完善的备用环境,如异地双机热备; | ||
| 5、对备份介质应定期进行恢复测试,有相关业务部门进行确定数据的准确性,并保留相关记录,该记录要求有用户、信息部门、管理层签字确认; | |||
| 6、异地备份的物理环境应同于实际业务环境,以确保实际环境发生意外时备用环境能立即切换启用; | |||
| 7、对于异地备份根据区域的不同可有不同的定义,不一定要求在5公里以上的间隔距离; | |||
| 用户问题管理 | ● 用户就系统有关问题之管理制度、问题处理、问题严重性分级、上报机制、问题汇总和审核制度 | 1、对问题管理应有完善的机制,包括问题收集、汇总,按严重性、紧急性分级,以及上报机制。 | |
| 2、问题的处理应有跟踪反馈机制,确保问题被及时有效解决。 |
(二)应用层面控制
根据客户所使用信息系统的不同,有针对性的设计测试方案,对客户各应用系统的使用情况进行测试。其重点关注事项包括且不限于以下内容:
(1)系统资源的存取。包括逻辑资源,如软件、系统文件和表、数据等。
(2)系统资源的使用。用户应该只能对授权给他们的那些资源进行操作。
(3)是否建立按用户职能分配资源的模式。把重要的任务功能按用户或用户组进行分离,以减少无意的误操作、滥用系统资源和对数据的非授权修改。
(4)记录系统的使用情况。按时间顺序建立一个使用记录,记录内容应包括例外事例和与安全有关的事件是由谁触发的,财务信息的创建、修改和删除是由谁完成的。
(5)确认处理过程的准确性。确认处理过程的准确完成。
(6)管理人员对财务信息的修改。应该保证财务信息系统的所有修改都是经过授权、有文档记录、经过彻底 (独立地)测试的,确认以有控制的方式投入使用。
(7)数据转移的安全性、准确性、有效性。当数据在系统内或多个系统间转移时,是否有合理保障。
六、IT审计发现及评价
我们将评价审计中所收集的证据以确定被审计的流程是否受到良好的控制并有效运行。并采取缺陷列表、控制矩阵等形式,使用分级的方式对审计发现做出列示。对公司层面控制及一般性控制中的缺陷采取定性方式判断重要性,对财务相关的缺陷应采取定量分析的方式,确认该缺陷可能影响的财务金额,确定该缺陷重要性,并与相关财务审计人员沟通。
七、IT审计报告
审计报告是IT审计工作的最终成果,用于审计师向管理层报告审计发现和建议。审计报告的格式根据项目而异。
弹算网
chinesethink.com
4008-081-181
透明的参考价格
价格模型来源于市场统计数据
综合政府部门曾经颁布的价格
放心的服务
严选正规专业的服务商
领先的标准化服务流程
